mthcht/ForensicArtifacts2DFIR-orc-config

# ForensicArtifacts 转 DFIR-orc-config ## DFIR ORC Artifact 转换器 脚本 `create_dfir_orc_config.py` 用于将 artifact 定义从 YAML 格式转换为 DFIR ORC XML 格式。该脚本专为处理来自 [ForensicArtifacts](https://github.com/ForensicArtifacts/artifacts) 仓库的 artifact 定义而设计，仅专注于 Windows artifacts。 DFIR-ORC 是一款针对 Windows 的 forensic artifact 收集器：https://github.com/DFIR-ORC/dfir-orc ### 需求 所需的 Python 库：requests, pyyaml ### 自动下载与转换 要自动下载 artifact 定义并将其转换为 DFIR ORC XML 格式： ``` python3 create_dfir_orc_config.py --auto ``` 转换后的文件将保存在 DFIR-ORC-Config 目录中。 要将指定输入目录中的 artifact 定义转换为指定输出目录： ``` python3 create_dfir_orc_config.py path/to/input_dir path/to/output_dir ``` - path/to/input_dir：包含 YAML 文件的输入目录（可包含子目录）。默认为 ForensicArtifacts_to_convert。 - path/to/output_dir：转换后 XML 文件的输出目录。默认为 DFIR-ORC-Config。 - `--auto`：自动从 ForensicArtifacts 仓库下载并提取 artifacts。 # 待办 - [ ] 测试生成的配置 - [ ] ForensicArtifacts 转 KapeFiles 其他获取更多 artifacts 的仓库：https://github.com/mthcht/KapeFiles2DFIR-orc-config

标签：Artifact Collector, DFIR-ORC, ForensicArtifacts, HTTPS请求, HTTP工具, KapeFiles, Python, Windows取证, XML, YAML, 取证, 安全库, 库, 应急响应, 数字取证, 无后门, 格式转换, 网络调试, 自动化, 自动化脚本, 逆向工具, 配置转换